Quoties aliquid sponte emis, tabula frigido succumbens, et hoc initio desideratum item pulverem in thalamo, cellario vel garage usque ad proximum ver purgans vel movens? Ita fit destitutio propter opiniones falsas et pecuniam perditam. Multo peius est si hoc in negotio evenit. Saepissime vernum venalicium tam bonae sunt ut societates solutionem pretiosam emant, quin plenam imaginem eius applicationis videant. Interim probatio iudicii systematis adiuvat ad intellegendum quomodo praeparet infrastructuram ad integrationem, quae officia et quatenus perficienda sint. Hoc modo ingentem numerum problematum vitare potes propter eligendo productum "sceleste". Praeterea exsecutio post competentem "gubernatorem" fabrum nervum cellas cani et canos multo minus destructas afferet. Exprimamus cur gubernator probatio tanti momenti sit ad rem bene gestam, exemplo popularis instrumenti ad retis corporatum refrenandam accessum - Cisco ISE. Consideremus tum vexillum et optiones omnino non normas pro solutione utendo, quam in usu nostro invenimus.
Cisco ISE - "Radius server in steroids"
Cisco Identity Services Engine (ISE) suggestum est ad creandum accessum moderandi systema retis localis regiminis. In perito communitate, productus "Radius server on steroids" appellatus est pro suis proprietatibus. Cur est? Essentialiter solutio est servientis Radii, cui adiectae sunt operae et "dolae" ingens numerus, permittens ut magnam copiam contextualium notitiarum reciperes et in accessu rationes inde datarum apponas.
Sicut quilibet alius Badius cultor, Cisco ISE intercedit cum accessu retis librario, informationes colligit de omnibus conatibus ad network corporatum coniungendum et, ex authenticis et auctoritatis agendis rationibus, utentes LAN concedit vel negat. Attamen possibilitas proficing, dispositio et integratio cum aliis solutionibus securitatis informationis efficit, ut possibilitas logicam concessionis consilium signanter inpediat ac per hoc difficiles et iucundas difficultates solvat.
Exsecutio gubernari non potest: cur experimentis opus est?
Valor gubernatoris probatio est demonstrare omnes facultates systematis in specifica infrastructura certae organizationis. Credo gubernatorem Cisco ISE ante exsecutionem beneficii omnes implicari in incepto, et hic ob rem.
Hoc dat integratores claram ideam exspectationum emptoris et adiuvat ad rectam technicam speciem creandam quae multo accuratius continet quam communi sententia "omnia denique fac". "Gubernator" sinit nos omnes emptoris dolorem sentire, intelligere quae officia sunt illi prioritas et quae secundaria sunt. Nobis, haec optima est opportunitas ad instar praemissorum, quae instrumento adhibentur in ordinatione, quomodo exsequenda fient, quibus locis, ubi locantur, et cetera.
In gubernator probatione, clientes realem rationem in agendis videre, cognoscere interfaciem eius, possunt inspicere num cum ferramentis existentibus compatitur, et holistic intellectum capias quomodo solutio operis erit post plenam exsecutionem. "Gubernator" momentum ipsum est cum videre potes omnes casus quos verisimiliter in integratione occurreris et quot licentias mercari debes.
Quid "pop sursum" per "gubernatorem"
Ita, quomodo tu Cisco ISE recte paras exsequendam? Ab experientia nostra quattuor praecipua puncta numeravimus quae magni ponderis sunt ut in experimento systematis gubernatoris consideretur.
Triticum forma
Primum, dijudicare debes in qua forma factor ratio efficietur: physica vel virtualis upline. Quaeque optio commoda et incommoda habet. Exempli gratia, vis corporis upline est eius praedictio effectus, sed oblivisci non debemus tales cogitationes in tempore obsolescere. Uplines lorem ipsum minus praedictio sunt, quia... pendent ab ferramentis quibus ambitus virtualisation explicatur, sed magnum habent commodum: si subsidia praesto sunt, semper possunt ad novam versionem renovari.
Tua network apparatu compatitur cum Cisco ISE?
Scilicet, exemplar missionis esset simul omnia instrumenta ad systema coniungere. Sed hoc non semper fieri potest quam multae consociationes adhuc utuntur virgas vel virgas expeditas quae non sustinent aliquas technologias quae Cisco ISE currunt. Obiter de virgas non loquimur, potest etiam esse moderatoris retis wireless, VPN concentores et alia instrumenta quibus utentes coniungunt. In usu meo causae fuerunt cum, postquam ratio plenae exsecutionis demonstravit, mos upgraded paene totam classem accessi graduum permutationum ad apparatum Cisco hodiernum. Ad admirationem incommodam vitandam, valet in antecessum invenire proportionem sine instrumento.
Omnesne cogitationes tuae vexillum?
Retiacula quaevis machinas typicas habet, quae ad coniungere difficile non debent: workstations, IP phones, puncta accessi Wi-FI, cameras video, et cetera. Sed etiam accidit ut machinae non normae cum LAN coniungi necesse habeant, exempli gratia, RS232/Athernet bus signo convertentium, continua potentia copia machinarum, instrumentorum technologicorum varii, etc. Refert interest enumerationem talium machinarum in antecessum determinare. ita ut in scaena exsequenda iam intellegas quam technice cum Cisco ISE operabitur.
Colloquium cum IT elit
Cisco ISE clientes saepe departments securitatis sunt, cum IT Dicasteria solere responsales ad accessum tabulatum iacuit et Active Directory configurare. Ideo productivum commercium inter specialitas securitatis et IT specialitas inter condiciones momenti est ad exsecutionem systematis sine dolore. Si hi hostiliter integrationem perspexerint, operae pretium erit illis exponere quomodo solutio ad IT department sit utilis.
Top V Cisco ISE usus casibus
Apud nos, inquisita functionis ratio identificatur etiam in scaena probati gubernatoris. Infra sunt quidam de festis et minus communibus pro solutione casuum.
Secure LAN accessum per filum cum EAP-TLS
Cum eventus investigationis nostrorum pentestrorum ostendunt, saepe saepius ad reticulum societatis penetrandum, oppugnatores ordinariis basibus utuntur quibus impressores, phones, IP cameras, Wi-Fi puncta et aliae machinae retiaculae non personales connexae sunt. Itaque, etsi accessus retis in dot1x technologiae fundatus est, sed alternatio protocolla sine usoris authenticis testimonium adhibitis, magna probabilitas est felicitatis cum sessione interceptio et vi Tesserae violentae oppugnationis. In casu Cisco ISE, multo difficilius erit testimonium surripere - hoc enim, hac in re multo magis computandi potentia opus erit, ergo haec causa est efficacissima.
Dual-SSID wireless accessum
Essentia huius missionis est utendi retis 2 identificatoribus (SSIDs). Una ex his sub condicione vocari potest "hospes". Per eam, hospites et turba elit accessere possunt in tellus. Cum coniungere conantur, hae redirectae sunt ad specialem portam ubi commeatus fit. Hoc est, usor editur libellum et eius technum personale configuratur automatice reconnect cum secundo SSID, quo iam EAP-TLS omnibus commodis primi casus utitur.
MAC authenticitate bypass et Profiling
Alius casus popularis usus est, ut artificii genus ipso connexum deprehendat et ad restrictiones rectas applicet. Quid est interesting? Re vera exstant adhuc satis multae machinae quae authenticas utentes protocollo 802.1X non sustinent. Ideo huiusmodi machinae in retiaculis utentes inscriptionem MAC inscriptionem permittendam esse, quae ad fictum satis facile est. Hoc est ubi Cisco ISE subvenit: cum systematis ope videre potes quomodo machinatio in retiaculo se gerit, eius profile creare et eam coetui aliarum machinarum assignare, exempli gratia, telephonicii IP et workstation. . Si oppugnator inscriptionem MAC inscriptionem facere et reticulum coniungere temptaverit, ratio videbit profile machinam mutatam esse, mores suspectos significabit et suspectum usorem in retiaculum non permittit.
EAP-Chaining
EAP-Chaing technologia sequens authenticas laboris PC et ratio usoris involvit. Causa haec disseminata est, quia... Multae societates adhuc non fovent gadgetas personales connectentes cum corporatum LAN. Hic accessus ad authenticas utens, inspiciri potest num certa workstation sit membrum dominii, et si effectus negativus est, utens aut non admittatur in retia, aut ingredi poterit, sed cum quibusdam. restrictiones.
Posturing
Hic casus est de perpendendis obsequio programmatis workstation cum notitia securitatis requisita. Hac technologia utens, inspicere potes an programmatio in workstation sit renovata, sive mensurae securitatis in ea inaugurata sint, an exercitus firewall configuratus, etc. Interestingly, haec technologia tibi dat etiam alia negotia solvenda ad securitatem non pertinentia, exempli gratia, inspiciendo praesentia files necessariis vel programmatibus systematis amplis insertis.
Minus communes usus casus pro Cisco ISE includunt accessum imperium cum fine ad finem domain authenticas (Id passivorum), SGT-fundatur micro-segmentationis et eliquationis, necnon integrationis cum administratione machinalis mobilis (MDM) systemata et vulnerabilitas scannarii.
Incepta non norma: quare aliud opus est ut Cisco ISE, vel 3 casus rariores ex usu nostro?
Accessum imperium ad Linux-fundatur servers
Semel solvebamus casum non-trivialem pro uno ex clientibus qui iam systema Cisco ISE impleverunt: opus est invenire viam ad actiones usoris refrenandi (plerumque administratores) servientibus cum Linux inaugurato. In quaerentes responsum venimus cum idea utendi liberorum PAM Radii Module programmatis, quod permittit te in servientibus Linux currere cum authenticas radiophonico externo. Omnia hac in re bona essent, si non pro uno "sed": radio servo, responsionem mittens ad petitionem authenticas, dat solum rationem nominis et eventum - aestimandi accepti vel aestimandi reiciendi. Interim, pro licentia in Linux, saltem unum modulum - directorium domus assignare debes, ita ut usor saltem alicubi acquirat. Viam hanc ut attributum radii tribuendi non invenimus, ita singularem scripturam scripsimus ut rationes de exercituum remotis in modo semi-automatico. Hoc negotium satis possibilis fuit, cum de rationibus administratoribus ageretur, quarum numerus non erat tantus. Deinceps utentes initium super machinam inquisitam, postquam accessus necessarius assignatus est. Rationabilis quaestio oritur: Num in talibus casibus uti oportet Cisco ISE? Profecto nullum - cuiuslibet servientis radii facturi sunt, sed cum mos iam hoc systema habuit, simpliciter novam notam ei addimus.
Inventarium hardware et software in LAN
Semel in incepto laboravimus ut Cisco ISE uni emptori sine praevia "gubernatore" suppleret. Patet nulla requisita ad solutionem, plus ageremus de retis plana, non-semmentibus, quae negotium nostrum implicaverunt. In project, methodos omnes profilingas configuramus quas retis sustentatur: NetFlow, DHCP, SNMP, AD integrationem, etc. Quam ob rem, MAR accessus figuratus est cum facultate ut in retiaculum aperias si authenticas deficeret. Hoc est, etsi authenticas parum proficit, systema usoris in retiaculo tamen permittit, informationes de eo colligere et in database ISE recitare. Haec retis vigilantia per plures septimanas adiuvit nos cognoscere connexos systemata et cogitationes non personales et accessum ad eas segmentum evolvere. Post hoc praeterea figuravimus dispositis ut procuratorem in workstations instituamus ad informationes colligendas de programmate in eis inaugurato. Quid rei est? Reticulum secare poteramus et indicem interretialem determinare quae ab workstationibus removenda erat. Non celabo plura munera distribuendi users in coetus domain et iura describendi accessum nos satis multum temporis sumpsisse, sed hoc modo integram imaginem cepimus quae in retiaculis mos erat. Obiter hoc difficile non erat propter bonum opus e cista prolificationis. Bene, ubi profiling non adiuvabat, nos ipsi nos conspeximus, quatenus portum transitum cui iunctus erat apparatus.
Installation of software remote in workstations
Hic casus minim in usu est. Una die, emptoris ad nos accessit cum clamore auxilio - erravit aliquid cum Cisco ISE fovendo, omnia fregit, et nemo alius reticulum accedere potuit. Inspicientes eam incepimus et quae sequuntur reperimus. Societas 2000 computatorum habuit, quae, absente moderatore ditionis, sub ratione administratoris administratae sunt. Ad propositum perspiciendi, ordo perficiendus Cisco ISE. Oportuit aliquo modo intelligere an antivirus in PCs existens constitutus, num ambitus programmatus renovatus esset, etc. Et quia IT administratores apparatum retis in systemate instituerunt, consentaneum est eos ad illud accessum habuisse. Administratores postquam vidit quomodo laborat et ponens PCs suas conscenderunt cum idea institutionis programmatum in operationibus operariis remotius sine visitationibus personalibus. Cogita quot gradus per diem hoc modo servare potes! Administratores varias schedulae officinarum adhibuerunt ad praesentiam fasciculi specifici in C:Programma directorii tabulariorum, et si abesset, automatariae remediationem sequendo nexum repositionis ad .exe fasciculi ad institutionem deducebant. Hoc vulgares usores permisit ire ad limam partem ac programmata necessaria inde extrahere. Infeliciter, admin ratio ISE bene noverat et machinationes commentarias afflixit - scripsit consilium non recte, unde ad problema solvendum implicati sumus. Personaliter, vehementer miror talem accessionem creantis, quia multo vilius et minus labor intensivus esset ad fabricam ditionis moderatoris. Probo conceptam elaboraret sed ut.
Lege plura de nuances technicas quae nascuntur cum exsequendo Cisco ISE in articulum collegae mei .
Artem Bobrikov, machinator machinalis Informationis Securitatis Centre apud Jet Infosystems
afterword:
Non obstante quod haec epistula de systemate Cisco ISE loquitur, problemata de quibus NAC solutionum genus totum pertinentes sunt. Non tam magni momenti est quam venditoris solutio ad exsequendum destinatur - pleraque ex his locum habent.
Source: www.habr.com